Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit

Navigation und Service

Die Geschichte des Datenschutzes

Das Bedürfnis nach Datenschutz gibt es schon sehr lange. Wir haben die Meilensteine der Datenschutz-Geschichte einmal für Sie zusammengetragen:

Plakat "Zählt nicht uns, zählt eure Tage" bei Protesten gegen die Volkszählung in den 1980er Jahren
Quelle: Umbruch Bildarchiv e.V.

Ca. 400 v. Chr.: Mit dem Hippokratischen Eid wird die ärztliche Schweigepflicht begründet

Hätten Sie gedacht, dass der Datenschutz seinen Ursprung in der Antike hat? Im sogenannten Hippokratischen Eid verpflichteten sich Ärzte schon ums Jahr 400 v. Chr. dazu, intime Geheimnisse ihrer Patientinnen und Patienten nicht gegenüber Dritten auszuplaudern. Es ging also um die auch heute noch praktizierte ärztliche Schweigepflicht. Man hatte erkannt, dass die Menschen mehr von sich preisgeben und damit die Behandlung erleichtern, wenn sie darauf vertrauen können, dass ihre Ärzte „dichthalten“. Diese damals als „heilige Pflicht“ bezeichnete Verhaltensregel speiste sich aus religiös-ethischen Überlegungen, hatte aber keine juristische Grundlage. Das ist heute anders: Der Hippokratische Eid ist zwar aus der Mode gekommen, aber in der Berufsordnung für deutsche Ärzte steht die Schweigepflicht an prominenter Stelle. Und § 203 des Strafgesetzbuches regelt streng, was deren Nichteinhaltung nach sich zieht.

1215 n. Chr.:  Das Beichtgeheimnis findet Eingang ins Kirchenrecht.

Auch sündige Katholiken konnten recht früh auf den Datenschutz zählen. Denn das Beichtgeheimnis wurde bereits im Mittelalter im Kirchenrecht verankert. Darauf einigten sich die Oberhäupter der katholischen Kirche auf dem Vierten Laterankonzil 1215, der wichtigsten beschlussfassenden Versammlung dieser Zeit. Das Beichtgeheimnis verpflichtet Geistliche zu absoluter Verschwiegenheit über alles, was ihnen in der Beichte anvertraut wird. Nicht einmal die Beichtenden selbst können ihre Beichtväter von der Schweigepflicht entbinden. Geistlichen, die das Beichtgeheimnis verletzen, droht die schlimmste Strafe überhaupt: der Ausschluss aus der Kirche. Sogar das deutsche Strafrecht respektiert das Beichtgeheimnis: Geistliche können bei Ermittlungen die Aussage verweigern und müssen geplante Straftaten auch nicht anzeigen.

10. August 1712:  Die Allgemeine Preußische Postordnung stellt das Briefgeheimnis unter amtlichen Schutz

Neugier ist zutiefst menschlich, sozial aber nicht immer verträglich. Um zu verhindern, dass Boten ihre Nase in Dinge steckten, die sie nichts angingen, stellte die Allgemeine Preußische Postordnung das Briefgeheimnis am 10. August 1712 unter amtlichen Schutz. Postbeamten, die dieser Verordnung zuwiderhandelten, drohten die Dienstentlassung und die strafrechtliche Verfolgung als „Meineidiger“. 1794 floss die Rechtsvorschrift auch in das Allgemeine Preußische Landrecht ein. Die Verfassung des Deutschen Reiches erklärte das Briefgeheimnis dann mit fröhlichem Optimismus für ganz Deutschland „gewährleistet“. Doch erst in der Reichsverfassung von 1919 wurde das Briefgeheimnis als Teil des Postgeheimnisses zum Grundrecht erklärt. Heute stehen unsere Briefgeheimnisse natürlich auch unter dem Schutz des Grundgesetzes (Art. 10).

1851: Der Grundstein für das deutsche Steuergeheimnis wird gelegt

1851 war das deutsche Steuergeheimnis noch ein allgemeines Amtsgeheimnis, über das sich der § 32 des preußischen Einkommensteuergesetzes auslässt. Hier wurde erstmals ein Schutzrahmen für Informationen festgelegt, die im Verlauf eines Besteuerungsverfahrens bekannt werden. Das allgemeine Amtsgeheimnis zählte zu den Verschwiegenheitsgrundsätzen für Staatsbedienstete – juristisch bindend war es jedoch nicht. Daher drohten bei Verletzung des Amtsgeheimnisses auch keine strafrechtlichen Folgen. Im Gegenzug konnten Bürger aber nicht gezwungen werden, steuerlich relevante Daten offenzulegen. Um die Eingriffsbefugnisse der Finanzbehörde ausweiten zu können, musste daher auch der Geheimnisschutz ausgebaut werden. Der Begriff „Steuergeheimnis“ taucht zum ersten Mal in der Reichsabgabenordnung aus dem Jahre 1931 auf. Sie wurde erst 1977 durch die deutsche Abgabenordnung ersetzt, in der das Steuergeheimnis eine grundrechtsähnliche Bedeutung bekam.

1890: Der bahnbrechende Artikel „The Right to Privacy“ von Brandeis und Warren erscheint und begründet den modernen Datenschutz

Mit ihrem bahnbrechenden Artikel „The Right to Privacy“ („Das Recht auf Privatsphäre“) begründeten die US-amerikanischen Juristen Louis D. Brandeis (1856 – 1941) und Samuel D. Warren (1852 – 1910) im Jahre 1890 den modernen Datenschutz. Der im Harvard Law Review veröffentliche Aufsatz preist die Privatsphäre als ein natürliches Recht des Menschen – das „Recht darauf, in Ruhe gelassen zu werden“. Inspiriert wurde er durch die vermehrte Veröffentlichung intimer Details aus dem Privatleben von Menschen – eine Folge der Massenauflage von Zeitungen und der Weiterentwicklung der Fotografie. Brandeis und Warren stellten fest, dass dadurch die Grenzen von „Anstand und Benehmen“ verletzt würden und dass die so sensible Privatheit des Einzelnen besser als bisher geschützt werden müsse. Ein Hauptargument war, dass der Schutz von Personen und Eigentum ja auch immer wieder an politische, soziale und wirtschaftliche Veränderungen angepasst würde. Warum sollte das nicht auch für immaterielles Eigentum wie die Privatsphäre gelten? Im Prinzip legten die Autoren erstmals das Recht einer jeden Person dar, selbst über den Umgang mit ihren Daten bestimmen zu können.

9. Januar 1907: Erlass des Kunsturhebergesetzes und damit Begründung der Rechte am eigenen Bild

Kaum vorstellbar, aber mit dem Kunsturhebergesetz bekamen bildende Künstler und Fotografen zum ersten Mal das Urheberrecht an ihren Werken zugesprochen. Gleichzeitig war es die juristische Grundlage für das Recht am eigenen Bild. Historischer Anlass für diese gesetzliche Regelung war ein „Paparazzo-Foto“ des toten Reichskanzlers Otto von Bismarck: Zwei Fotografen waren in das Sterbezimmer eingedrungen, hatten den Toten fotografiert und versucht, die Bilder zu veröffentlichen. Die Entrüstung war groß, allerdings konnten die beiden nach damaligem Recht nur wegen Hausfriedensbruches verurteilt werden. Also beschloss man, die Würde Verstorbener in Zukunft besser zu schützen. Neben dem Recht am eigenen Bild wurde auch das postmortale Persönlichkeitsrecht, also der Schutz des Persönlichkeitsrechtes über den Tod hinaus, ins Kunsturhebergesetz aufgenommen.

1919: Die Weimarer Reichsverfassung garantiert den Bürgern erstmals das Fernsprechgeheimnis

Als die Menschen begannen, über Telefon zu kommunizieren, hatte man über Informationsschutz schon gründlich nachgedacht. Die Weimarer Reichsverfassung von 1919 stellte in Art. 117 das Fernsprechgeheimnis gemeinsam mit dem Brief- bzw. Postgeheimnis unter Verfassungsschutz. 

30. September 1970: Hessen erlässt das erste Datenschutzgesetz weltweit, das am 13.10.1970 in Kraft tritt

Auch Deutschland, genauer gesagt Hessen, hat Datenschutzgeschichte geschrieben. Denn hier stand die Wiege des ersten Datenschutzgesetzes der Welt. Es trat am 13. Oktober 1970 in Kraft und war eine Reaktion auf die immer effektiver werdende automatisierte Informationsverarbeitung durch öffentliche Stellen. Hessen hatte viel vor und plante EDV-gestützte Datensammlungen in Krankenhäusern und Schulen. Schnell wurde den Verantwortlichen klar: Wo so viele personenbezogene Daten zusammengeführt werden, könnte sich der einzelne Bürger schnell überwacht und kontrolliert vorkommen. Also schlüpfte Hessen in puncto Datenschutz in die Vorreiterrolle. Das inzwischen mehrfach überarbeitete hessische Landesdatenschutzgesetz schrieb u. a. vor, dass elektronisch verarbeitete Daten vor dem Zugriff Unbefugter zu schützen sind. Es verpflichtete die mit der Datenverarbeitung Beschäftigten zur Verschwiegenheit über den Inhalt der Daten und ermöglichte Menschen, unrichtige Daten berichtigen lassen zu können. Auch die Ernennung des Datenschutzbeauftragten ist eine hessische „Erfindung“.

28. Januar 1977: Die erste Fassung des deutschen Bundesdatenschutzgesetzes wird verabschiedet

Circa sechs Jahre nach dem hessischen Vorstoß in Sachen Datenschutz zog der Bund nach. Unter dem Titel „Gesetz zum Schutz vor Missbrauch personenbezogener Daten bei der Datenverarbeitung“ wurde am 27. Januar 1977 die erste Fassung des deutschen Bundesdatenschutzgesetzes verabschiedet. Es sollte verhindern, dass staatliche Stellen, aber auch Unternehmen sich personenbezogener Daten nach Lust und Laune bedienen können. Daher wurde bestimmt, dass die Verarbeitung solcher Daten nur noch zulässig ist, wenn die betroffene Person darin eingewilligt hat oder das Bundesdatenschutzgesetz oder eine andere Rechtsvorschrift dies erlauben. Außerdem sollte die Datenverarbeitung dem Erforderlichkeitsgrundsatz folgen: Nur solche personenbezogenen Daten durften fortan verarbeitet werden, die zur Erfüllung der Aufgaben unerlässlich waren.

1. Januar 1978: Der Bundesbeauftragte für den Datenschutz wird eingerichtet

Dass die Datenverarbeitung mit Sieben-Meilen-Stiefeln voranschreiten würde, war allen Verantwortlichen klar. Es musste also jemanden geben, der die Entwicklung beobachtete und dafür sorgte, dass der Datenschutz Schritt hielt. Dieser Notwendigkeit Rechnung tragend bestimmt das Bundesdatenschutzgesetz vom 1. Januar 1978 in § 17 die Einsetzung eines Bundesbeauftragten für den Datenschutz. Der erste Verantwortliche für diese Aufgabe war der Rechtswissenschaftler Hans Peter Bull, der am 14. Februar 1978 in sein Amt eingeführt wurde. 

Bis 1981: Die Bundesländer der alten Bundesrepublik erlassen jeweils eigene Landesdatenschutzgesetze

Nachdem das Bundesdatenschutzgesetz Fakten geschaffen hatte, schlossen nach und nach alle alten Bundesländer in Deutschland auf und erließen eigene Landesdatenschutzgesetze.

15. Dezember 1983: Das Bundesverfassungsgericht fällt das für den Datenschutz wegweisende „Volkszählungsurteil“

Ein Meilenstein für den Datenschutz war das Volkszählungsurteil von 1983, mit dem das Bundesverfassungsgericht die geplante Volkszählung teilweise für verfassungswidrig erklärte. Es war aber mehr als „nur“ eine Antwort auf die Verfassungsbeschwerden gegen diese Volkszählung. Es enthält wesentliche Grundsätze für einen verfassungskonformen Umgang mit Daten, die bis heute Gültigkeit haben. Und zwar nicht nur für staatliche Stellen, sondern auch für private Unternehmen. Die Begründung des Urteils beruft sich – natürlich – auf das Grundgesetz (GG) der Bundesrepublik Deutschland, das mit Art. 1 Abs. 1 die Menschenwürde und in Art. 2 Abs. 1 die freie Entfaltung der Persönlichkeit schützt. Daraus leitete das Bundesverfassungsgericht in einem begriffsprägenden Geniestreich das „Recht auf informationelle Selbstbestimmung“ ab. Es gewährleistet, dass die oder der Einzelne grundsätzlich selbst über die Verwendung ihrer oder seiner Daten bestimmen kann. Diesem Anspruch genügten die bisherigen Datenschutzgesetze nicht mehr.

1990: Neufassung des Bundesdatenschutzgesetzes sowie der Datenschutzgesetze der Länder

Das vom Bundesverfassungsgericht formulierte „Recht auf informationelle Selbstbestimmung“ setzte eine große Änderungswelle in Gang. Alle bisherigen Datenschutzgesetze mussten umgeschrieben werden, um dieses neue Grundrecht auch wirklich gewährleisten zu können.

8. Juli 1994: Das Umweltinformationsgesetz des Bundes tritt in Kraft

Mit dem Umweltinformationsgesetz (UIG) wird die Richtlinie 90/313/EWG des Rates vom 07. Juni 1990 über den freien Zugang zu Informationen über die Umwelt umgesetzt. Es richtet sich unmittelbar an die informationspflichtigen Stellen des Bundes und weist sie an, Umweltinformationen zu verbreiten und Bürgerinnen und Bürgern freien Zugang dazu zu verschaffen. Die Umweltinformationsgesetze der Länder wiederum brechen das Gesetz auf die jeweiligen Bundesländer und deren informationspflichtige Stellen herunter. Sie verweisen entweder auf das UIG oder regeln den gleichen Sachverhalt eigenständig.

„Geburtsdatum“ des UIG des Bundes war der 08. Juli 1994. Eigentlich hätte das UIG spätestens am 31. Dezember 1992 in Kraft treten müssen. So forderte es jedenfalls Art. 9 Abs. 1 der Richtlinie des Rates. Die Zeit vom 01. Januar 1993 bis 08. Juli 1994 war in Deutschland also quasi eine „gesetzlose“, so dass ersatzweise die Richtlinie 90/313/EWG zum Einsatz kam. Das UIG von 1994 galt dann erstmal sowohl für die Behörden des Bundes als auch die der Länder.

Doch damit war längst nicht alles gut, denn das UIG ließ noch zu wünschen übrig. Außerdem wurde versucht, das Einsichtsrecht mit verhältnismäßig hohen Gebühren zu behindern. Da das UIG damit hinter die Richtlinie zurückfiel, leitete die Europäische Kommission (EU) ein Vertragsverletzungsverfahren gegen die Bundesrepublik Deutschland ein. Tatsächlich verurteilte der Europäische Gerichtshof Deutschland dazu, Anpassungen vorzunehmen.

In Umsetzung der Aarhus-Konvention wurde die Richtlinie 90/313/EWG am 28. Januar 2003 durch die weitergehende Richtlinie 2003/4/EG abgelöst. Natürlich musste nun auch ein neues UIG her, das zum 14. Februar 2005 in Kraft trat. Es gilt nur noch für informationspflichtige Stellen des Bundes und bundesunmittelbare juristische Personen des öffentlichen Rechts. Der Bundesgesetzgeber war der Auffassung, dass er für die Ansprüche im Bereich der Länder nicht mehr zuständig sei. Daher wird die Informationspflicht der Behörden und sonstiger Stellen der Länder und Kommunen nun in entsprechenden Landesgesetzen geregelt.

Was lange währt, wird endlich gut. Die Verabschiedung von Informationsfreiheitsgesetzen auf Bundesebene sowie in 13 Bundesländern, die alle das allgemeine Recht auf Zugang zu öffentlichen Informationen normieren, macht das Umweltinformationsgesetz zu einem echten Spezialgesetz. Denn in seiner multiplen Ausführung bietet es Bürgerinnen und Bürgern nun einen doch recht weitgehenden Informationsanspruch auf Umweltinformationen.

24. Okotober 1995: Die EU beschließt eine Rahmenrichtlinie für den Datenschutz, deren Vorgaben in die nationalen Datenschutzgesetze übertragen werden sollen

Nach Gründung der EU mussten sich die Mitgliedsstaaten auch auf ein einheitliches Mindestmaß an Datenschutz einigen. Denn nun konnten nicht nur Waren ungehindert die Grenzen passieren, sondern auch personenbezogene Daten. Die Datenschutz-Richtlinie 95/46/EG sollte es richten. Sie bestimmt, dass die Datenerhebung und -verarbeitung sensibler persönlicher Informationen einer natürlichen Person grundsätzlich nicht zulässig und auch sonst nur in engen Grenzen erlaubt ist. Der Zweck der Erhebung und Verarbeitung muss nachvollziehbar und zulässig sein, personenbezogene Daten sind nach Zweckerfüllung zu löschen oder zumindest sicher aufzubewahren, und jeder Betroffene hat das Recht, zu erfahren, wer was warum mit seinen Daten macht. Alle EU-Mitgliedstaaten verpflichteten sich, die getroffenen Vorgaben in nationale Gesetze zu übertragen – und zwar unter Mitwirkung des Datenschutzbeauftragten ihres Landes.

23. Mai 2001: Das novellierte Bundesdatenschutzgesetz tritt in Kraft

Der Domino-Effekt nach Inkrafttreten der EU-Datenschutz-Richtlinie erfasste irgendwann auch Deutschland. Als erste reagierten die Länder Hessen und Brandenburg, die ihre Datenschutzgesetze schon 1998 bzw. 1999 an die EU-Vorgaben anpassten. Ab Mai 2001 konnte dann auch das überarbeitete Bundesdatenschutzgesetz seine Wirkung entfalten.

2003: Der erste europäische Datenschutzbeauftragte wird gewählt

Um eine unabhängige Kontrollinstanz zu haben, wurde mit der EG-Verordnung 45/2001 das Amt des Europäischen Datenschutzbeauftragten geschaffen. An ihn können Bürgerinnen und Bürger ihre Beschwerden richten, wenn sie der Ansicht sind, ihre Datenschutzrechte seien verletzt worden. Die Rechtsvorschrift trat am 01. Februar 2001 in Kraft. Knapp drei Jahre später wurde dann mit Peter Johan Hustinx der erste Europäische Datenschutzbeauftragte gewählt.

1. Januar 2006: Mit Inkrafttreten des Informationsfreiheitsgesetzes erhalten Bürgerinnen und Bürger allgemeines Einsichtsrecht in Behördenunterlagen

Vor dem 01. Januar 2006 hatten deutsche Bürgerinnen und Bürger kein allgemeines Einsichtsrecht in Behördenunterlagen. Wie sollten sie also von ihren demokratischen Beteiligungsrechten Gebrauch machen, wenn sie nicht einmal wussten, was die Bundesverwaltung genau trieb? Das änderte sich mit dem Informationsfreiheitsgesetz. Es spricht jeder Person das voraussetzungslose Recht zu, die amtlichen Informationen sämtlicher Bundesbehörden einzusehen. Der Bundesbeauftragte für den Datenschutz ist gleichzeitig Bundesbeauftragter für die Informationsfreiheit und wacht darüber, dass die Vorschriften dieses Gesetzes auch eingehalten werden.

27. Februar 2008: Das Bundesverfassungsgericht etabliert das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme

Sobald Computersysteme ans Internet angeschlossen sind, besteht theoretisch die Möglichkeit, auf dort gespeicherte personenbezogene Daten zuzugreifen. Eine leichte Übung für den Verfassungsschutz, doch sind solche Online-Durchsuchungen verfassungskonform? Nein, befand das Bundesverfassungsgericht mit seinem wegweisenden Urteil vom 27. Februar 2008. Stattdessen formulierte es ein Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme – kurz gesagt: auf Informationssicherheit. Staatliche Maßnahmen dürfen in dieses neue Grundrecht nur unter engen, gesetzlich ausdrücklich geregelten Bedingungen eingreifen.

1. Dezember 2009: Der Datenschutz wird in die Charta der Grundrechte der EU aufgenommen

Welche Rechte und Freiheiten die in der EU lebenden Menschen haben, wird in der Grundrechtecharta klar und übersichtlich beschrieben. Art. 8 der Charta widmet sich dem Schutz personenbezogener Daten. Diese dürfen nur für festgelegte Zwecke und mit Einwilligung der betroffenen Person oder auf einer sonstigen gesetzlich geregelten, legitimen Grundlage verarbeitet werden. Mit Inkrafttreten des Vertrages von Lissabon am 01. Dezember 2009 wurden diese Rechte festgeschrieben.

25. Mai 2018: Die Datenschutz-Grundverordnung der EU (DSGVO) tritt für alle Mitgliedstaaten bindend in Kraft

Der Datenschutzweisheit letzter Schluss war die Datenschutz-Grundverordnung der EU, die nach einer zweijährigen Übergangsfrist seit 25. Mai 2018 gültig ist. Sie löste die Datenschutzrichtlinie von 1995 ab und war das Ergebnis jahrelanger, intensiver Diskussionen. Um sicherzustellen, dass die dort verankerten Datenschutzvorschriften auch und insbesondere in grenzüberschreitenden Fällen angewendet werden, gilt die DSGVO einheitlich in allen Mitgliedstaaten. Sie schließt sogar Unternehmen ein, die ihren Sitz außerhalb der EU haben, sich mit ihren Angeboten aber an EU-Bürger wenden. In diesem Zusammenhang musste auch das Bundesdatenschutzgesetz reformiert werden. Es steht jedoch keineswegs über der DSGVO, sondern ergänzt, konkretisiert und spezifiziert die dortigen Vorgaben.